엔라이튼은 전국 2만 8,800여 개 태양광 발전소를 관리하는 통합 플랫폼을 운영하는 국내 대표 에너지 기후테크 기업입니다. Google Cloud Platform 기반의 기술 스택은 AI 기반 발전량 예측부터 실시간 자산 모니터링, 에너지 거래까지 모든 것을 구동합니다. 회사가 빠르게 성장하고 엄격한 보안 컴플라이언스를 요구하는 기업 고객을 확보해 나가면서 ISMS 인증이 필수가 되었습니다. 그러나 수년간의 빠른 개발 과정에서 Google Cloud 서비스 키들이 저장소, 문서, 협업 도구 곳곳에 흩어져 있었습니다. 핵심 에너지 데이터를 관리하는 인프라의 열쇠 역할을 하는 클라우드 크리덴셜의 노출은 심각한 운영 및 컴플라이언스 리스크를 의미했습니다.
엔라이튼은 클라우드 네이티브 인프라 전반의 크리덴셜 가시성을 확보하기 위해 Cremit을 도입했습니다. 전국 2만 8,800여 개 태양광 발전소를 관리하는 에너지 플랫폼으로서 데이터 처리, AI 기반 발전량 예측, 실시간 모니터링을 위해 Google Cloud Platform에 크게 의존하고 있습니다. Cremit은 개발 및 협업 환경을 스캔하여 저장소와 내부 문서 곳곳에 의도치 않게 노출된 Google Cloud 서비스 키들을 식별했습니다. 이를 통해 악용되기 전에 해당 크리덴셜을 보안 조치할 수 있었고, ISMS 인증 요구사항을 직접적으로 충족하는 데 기여했습니다.
"ISMS 인증을 준비하면서 Cremit 덕분에 노출된 줄도 몰랐던 Google Cloud 서비스 키들을 발견할 수 있었습니다. 이 크리덴셜들을 보안 조치함으로써 리스크를 줄였을 뿐 아니라 심사에 필요한 문서화된 증거도 확보할 수 있었습니다."
Jinseok Yeo
Security Engineer
스캔 결과, 조직의 기술 스택 전반에 오랜 시간 축적되어 온 상당수의 Google Cloud 서비스 키가 발견되었습니다. 수만 개 발전소의 에너지 데이터를 관리하는 핵심 클라우드 인프라 접근에 필수적인 이 크리덴셜들은 신속하게 보안 조치되었습니다. 즉각적인 리스크 해소를 넘어, 발견 및 조치 과정은 크리덴셜 관리 실행에 대한 문서화된 증거를 제공하여 엔라이튼의 ISMS 인증 심사를 직접적으로 지원했습니다. 민감한 운영 데이터와 금융 거래를 다루는 에너지 플랫폼으로서, 이 수준의 크리덴셜 위생 관리는 기업 고객과 규제기관에 보안 성숙도를 입증하는 경쟁 우위가 되었습니다.